BLOG 24Care - 24Care

24 Care Srl - PI & CF 10185010963
Vai ai contenuti

Gli autori di ransomware cercano nuovi modi per evitare di essere individuati

24Care Srl
Pubblicato da Alex Scroxton in NETWORK SECURITY · 1 Novembre 2019
Tags: ransomwaresicurezzainformatica
Gli autori di ransomware stanno modificando le loro campagne per eludere i controlli di sicurezza esistenti, offuscandone le origini e alcuni si stanno persino adattando per utilizzare le vulnerabilità negli strumenti di monitoraggio e gestione contro i loro proprietari, secondo il
rapporto sulle minacce di SophosLabs 2020
Con il ransomware che colpisce ogni giorno un numero enorme di obiettivi , il potenziale per i suoi autori di arricchirsi rapidamente non è mai stato così alto.
Tuttavia, ha affermato Sophos, il ransomware ha un tallone d'Achille: la crittografia dei dati è un processo che richiede tempo limitato dalla potenza di elaborazione della CPU della vittima , e questo significa che gli autori di ransomware devono essere consapevoli dell'importanza di ottimizzare i loro attacchi ed evitare il rilevamento per tutto il tempo il più possibile.
Con questo in mente, ha affermato Sophos, negli ultimi mesi i cyber criminali sembrano interessarsi molto al modo in cui i prodotti per la sicurezza di reti ed endpoint rilevano e bloccano attività dannose.
Molti hanno anche scoperto che è molto più semplice cambiare l'aspetto di una varietà di ransomware offuscando il suo codice, piuttosto che cambiare il suo comportamento generale, mentre cercano di trovare modi per eludere le difese.
Tendenze ben osservate come la compilazione di ransomware per una vittima specifica e mirata , la protezione con una password univoca o la codifica per l'esecuzione in un intervallo di tempo definito, possono indicare tentativi di ostacolare sia l'analisi automatizzata della sandbox sia il reverse engineering manuale da parte di analisti umani.
Altri aggressori sono stati visti sfruttando le credenziali o le vulnerabilità rubate nei prodotti di monitoraggio e gestione remoti come quelli di Kaseya, ScreenConnect o Bomgar.
Tali soluzioni vengono in genere violate tramite un provider di servizi gestiti (MSP) e, poiché spesso vengono eseguite con privilegi elevati, gli aggressori possono facilmente distribuire ransomware su più reti aziendali contemporaneamente una volta compromesse.
Altri hanno iniziato a firmare in codice il loro ransomware con un certificato Authenticode , che può eliminare le difese dall'odore poiché hanno meno probabilità di analizzare l'eseguibile in modo rigoroso come farebbero altrimenti.
Joe Levy, CTO di Sophos, ha dichiarato: “Ogni anno i criminali si adattano alle migliori difese degli operatori e dei fornitori del settore. Allo stesso tempo, i difensori devono proteggere sistemi e processi con nuove funzionalità costantemente introdotte e con una interdipendenza globale sempre crescente sull'operatività di questi sistemi.
“Ma non puoi difenderti da ciò che non puoi capire. Non è sempre facile visualizzare scenari di attacco complessi, soprattutto perché il risultante gioco del gatto e del mouse tra attaccanti e difensori aiuta a modellare le minacce future.
"Il nostro rapporto di quest'anno riflette sia la più ampia gamma di domini di sicurezza che ora osserviamo e difendiamo, sia la più ampia portata degli avversari in nuovi territori".
La relazione annuale quest'anno ha ampliato la portata per esplorare aree al di fuori della storica competenza di Sophos in merito a malware e prevenzione dello spam. Il principale ricercatore di Sophos Andrew Brandt ha raccolto alcune altre tendenze chiave osservate dalla società negli ultimi 12 mesi in un post di blog appena pubblicato .
Brandt ha dichiarato che il 2019 ha visto un aumento degli attacchi attivi automatizzati: compromissione delle reti interne diretta dall'uomo, seguita dall'uso degli strumenti di amministrazione di rete Windows per distribuire il malware su una rete aziendale molto rapidamente, come è accaduto nell'attacco al ransomware SamSam .
Sono stati osservati anche attacchi contro il servizio desktop remoto (RDP) di Microsoft e la sua applicazione client, con un mix di attacchi di login a forza bruta e campagne più mirate.
In questo caso, Sophos ha lasciato i server host RDP honeypot esposti a Internet pubblico e ha registrato tre milioni di tentativi di accesso in un periodo di 30 giorni.

lingua originale: https://www.computerweekly.com/news/252473457/Ransomware-authors-seeking-new-ways-to-avoid-being-spotted)



Torna ai contenuti